Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Correlacionar los datos de la lista de reproducción con cualquier dato de Microsoft Sentinel con operadores tabulares de Kusto, como join y lookup. Cuando crea una lista de seguimiento, debe definir la SearchKey. La clave de búsqueda es el nombre de una columna en la lista de seguimiento que espera usar como combinación con otros datos o como objeto frecuente de búsquedas.
Para un rendimiento óptimo de las consultas, utilice SearchKey como clave para las uniones en sus consultas.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.
Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.
Cree consultas con listas de seguimiento
Para usar una lista de seguimiento en una consulta de búsqueda, escriba una consulta de Kusto que use la función _GetWatchlist('watchlist-name') y use SearchKey como clave para la combinación.
Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Configuración>Lista de control. Para Microsoft Sentinel en Azure portal, en Configuración, seleccione Lista de control.
Seleccione la lista de seguimiento que desea usar.
Seleccione Ver en registros.
Revise la pestaña Resultados. Los elementos de su lista de seguimiento se extraen automáticamente para la consulta.
En el ejemplo siguiente se muestran los resultados de la extracción de los campos Nombre y dirección IP. SearchKey se muestra como su propia columna.
La marca de tiempo en las consultas se omitirá tanto en la UI de la consulta como en las alertas programadas.
Escriba una consulta que use la función _GetWatchlist('watchlist-name') y use SearchKey como clave para la combinación.
Por ejemplo, la siguiente consulta de ejemplo une la columna
RemoteIPCountryde la tablaHeartbeatcon la clave de búsqueda definida para la lista de control denominadamywatchlist.Heartbeat | lookup kind=leftouter _GetWatchlist('mywatchlist') on $left.RemoteIPCountry == $right.SearchKeyEn la imagen siguiente se muestran los resultados de esta consulta de ejemplo en Log Analytics.
Cree una regla de análisis con una lista de seguimiento
Para usar listas de seguimiento en reglas de análisis, cree una regla mediante la función _GetWatchlist('watchlist-name') de la consulta.
En Configuración, seleccione Analytics.
Seleccione Crear y el tipo de regla que quiere crear.
En la pestaña General, escriba la información adecuada.
En la pestaña Establecer lógica de regla, en Consulta de regla, use la función
_GetWatchlist('<watchlist>')en la consulta.Por ejemplo, supongamos que tiene una lista de control llamada
ipwatchlistcreada a partir de un archivo CSV con los siguientes valores:IPAddress,Location10.0.100.11,Home172.16.107.23,Work10.0.150.39,Home172.20.32.117,WorkEl archivo CSV tiene un aspecto similar al de la imagen siguiente.
Para usar la
_GetWatchlistfunción para este ejemplo, su consulta sería_GetWatchlist('ipwatchlist').
En este ejemplo, solo se incluyen eventos de direcciones IP en la lista de reproducción:
//Watchlist as a variable let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress); Heartbeat | where ComputerIP in (watchlist)En la consulta de ejemplo siguiente se usa la lista de seguimiento en línea con la consulta y la clave de búsqueda definida para la lista de seguimiento.
//Watchlist inline with the query //Use SearchKey for the best performance Heartbeat | where ComputerIP in ( (_GetWatchlist('ipwatchlist') | project SearchKey) )En la imagen siguiente se muestra esta última consulta usada en la consulta de regla.
Complete el resto de las pestañas en el asistente para reglas de Analytics.
Las listas de seguimiento se actualizan en el área de trabajo cada 12 días, actualizando el campo TimeGenerated. Para más información, consulte Creación de reglas de análisis personalizadas para detectar amenazas.
Visualización de la lista de alias de listas de seguimiento
Es posible que tenga que ver una lista de alias de lista de seguimiento para identificar una lista de seguimiento que se va a usar en una consulta o regla de análisis.
Para Microsoft Sentinel en Azure Portal, en General, seleccione Registros.
En el Portal de Defender, seleccione Investigación y respuesta>Búsqueda>Búsqueda avanzada.En la página Nueva consulta, ejecute la consulta siguiente:
_GetWatchlistAlias.Revise la lista de alias en la pestaña Resultados.
Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:
Para más información sobre KQL, consulte Introducción al Lenguaje de consulta Kusto (KQL).
Otros recursos:
Contenido relacionado
En este documento, ha aprendido a utilizar las listas de reproducción en Microsoft Sentinel para enriquecer los datos y mejorar las investigaciones. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Crear listas de seguimiento
- Aprenda a obtener visibilidad de los datos y de posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.